Análisis de malware

Malware destacado: malware híbrido

9 de enero de por Imam Fakhar

Introducción

El malware híbrido, también conocido como malware combinado, es una combinación de dos o más tipos diferentes de ataques, generalmente un caballo de Troya o un gusano con adware o malware adjunto. El malware híbrido también puede actuar como un bot, con el objetivo de convertir las máquinas infectadas en parte de una red de bots más grande controlada por los maestros de las botnets. Una vez que las máquinas infectadas están conectadas a la botnet, los piratas informáticos pueden alquilarlas a otros actores de amenazas para sus propios fines.

Además, el malware híbrido también puede combinar la capacidad de un virus para alterar el código de un programa con la capacidad de un gusano para ocultarse en la memoria viva. Además, también tiene la capacidad de propagarse sin ninguna acción por parte del usuario.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

En su libro «Malware: Lucha contra el código malicioso», Ed Skoudis escribió que la mayoría de los virus modernos entran en la categoría híbrida porque, además de infectar archivos como un virus, utilizan la técnica de propagación del gusano para diseminarse por la red.

¿Qué tan peligroso es el malware híbrido? ¿Por qué los ciberdelincuentes crean malware híbrido? ¿Cuál es un ejemplo de malware híbrido y cuáles son las mejores defensas contra él? Aquí hay algo de ayuda.

¿Qué tan peligroso es el malware híbrido?

Para comprender los impactos del malware híbrido, ante todo, debemos determinar los daños de sus componentes potenciales. Por ejemplo, los siguientes tipos de malware pueden formar un único paquete de ataque (el malware híbrido) y exploraremos brevemente cada uno de ellos:

• El virus puede infectar sectores de arranque, archivos host, archivos de documentos (por ejemplo, Microsoft Office, AutoCAD, archivos DOCX, archivos PDF o TXT) y archivos ejecutables utilizando técnicas de infección complementarias, técnicas de infección anexadas, técnicas de infección sobrescritas y técnicas de infección antepuestas.
• Los gusanos se propagan por la red aprovechando las vulnerabilidades de un sistema operativo. Pueden dañar su computadora al sobrecargar los servidores web y consumir ancho de banda. Además, también pueden contener cargas útiles que pueden dañar sus máquinas host.
• Los caballos de Troya pueden robar contraseñas almacenadas en caché en el historial de su navegador, permitir a los piratas informáticos acceder de forma remota a sus tarjetas de crédito y banca en línea, y eliminar y destruir archivos de su computadora. Incluso puede detectar y eliminar sus programas firewall y antivirus.

El malware híbrido utiliza estrategias de propagación cruzada en las que una sola pieza de malware puede diseminarse a través de vectores de código móvil, gusanos y virus, todo al mismo tiempo. Los actores maliciosos pueden lanzar ataques aún más devastadores utilizando esta combinación de malware.

Los tipos de malware mencionados anteriormente son los componentes básicos que se combinan en un único paquete desagradable.

¿Por qué los ciberdelincuentes crean malware híbrido?

A diferencia del malware tradicional, la amalgama de malware híbrido utiliza las ventajas de cada componente dispar (por ejemplo, gusanos, virus o troyanos). El malware híbrido es extremadamente eficaz en sus ataques y puede aprovechar un sistema de defensa considerablemente estricto.

Generalmente, los programas de seguridad están diseñados para uno o más virus informáticos específicos. Las fuerzas combinadas del malware pueden engañar a la aplicación de seguridad para que detecte el virus real, o pueden omitirse en caso de falsos positivos. Por ejemplo, la herramienta de gestión de eventos e información de seguridad (SIEM) a menudo genera demasiados falsos positivos debido a eventos anómalos o sospechosos. Los analistas de seguridad de los Centros de Operaciones de Seguridad (SOC) no pueden resolver cada falso positivo manualmente y, por tanto, deben centrarse en los más graves y descartar los demás.

No es necesario escribir código nuevo para cada aspecto del malware híbrido. En cambio, los atacantes pueden tomar prestado código de muestras de malware ya existentes e integrar este código en sus últimos productos.

Ejemplo de malware híbrido

En, un desarrollador de malware que se hacía llamar «Lion» lanzó un malware híbrido: una combinación de gusano y rootkit. Los rootkits permiten a los piratas informáticos manipular archivos del sistema operativo, mientras que los gusanos son vectores potentes que se utilizan para difundir rápidamente fragmentos de código. Imagínese lo que sucede cuando actores maliciosos cruzan rootkits y gusanos para aprovechar las capacidades de ambos en malware híbrido.

Esta combinación maliciosa ciertamente podría causar estragos: infligió daños en más de 10.000 sistemas Linux en. De hecho, el malware combinado gusano/rootkit fue diseñado para explotar específicamente las vulnerabilidades de los sistemas Linux.

¿Cuáles son las mejores defensas contra el malware híbrido?

Aunque el malware híbrido es muy sofisticado y difícil de detectar, algunas medidas de seguridad proactivas aún pueden salvarlo del desastre:

• Utilice seguridad multicapa o de defensa profunda equipada con un sólido programa antivirus y antimalware. Mantenerlos actualizados también es fundamental para los equipos de seguridad. Los programas antimalware detectarán y eliminarán inmediatamente de la memoria los componentes de control del malware híbrido.
• Utilice un firewall, ya que puede ayudar a monitorear el tráfico entrante y saliente y crear una barrera contra conexiones peligrosas o no deseadas. También puede definir algunas reglas personalizadas allí. El firewall puede interrumpir la comunicación del servidor de comando y control de una botnet con una máquina víctima
• El sistema de detección de intrusiones (IDS) y el sistema de prevención de intrusiones (IPS) también son invaluables para la seguridad de la red.
• Las configuraciones del sistema deben reforzarse adecuadamente
• Refuerza la seguridad de tu navegador
• Actualice todas las aplicaciones de seguridad con regularidad y parcheelas adecuadamente a través de sus proveedores oficiales.
• Eduque a sus empleados sobre los tipos de malware comunes y cómo esos tipos pueden formar colectivamente malware híbrido. Evite hacer clic en enlaces inusuales o no deseados. No descargue archivos desconocidos y nunca descargue archivos torrent ni visite sitios cuestionables.

Conclusión: el camino a seguir

El malware híbrido es un código peligroso que se crea combinando las capacidades de dos o más programas de malware, como gusanos, puertas traseras o rootkits. Es complejo y difícil de detectar.

Sin embargo, tomar algunas medidas de seguridad proactivas puede salvar a su organización de un desastre. Para ello, es necesario implementar seguridad multicapa con programas antivirus y antimalware, firewalls, IDS/IPS, seguridad del navegador, parches, actualizaciones y programas de capacitación para la concientización del usuario.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Fuentes

1. Ed Skoudis y Lenny Zeltser, «Malware: lucha contra el código malicioso», Prentice Hall,
2. Virus/gusano híbrido , SearchSecurity
3. 9 tipos de malware y cómo reconocerlos , CSO
4. ¿Conocía estos 5 tipos de malware? , grupo sistema
5. ¿Qué es un caballo de Troya? , McAfee
6. ¿Qué es un gusano informático? , Veracode
7. Configuración de reglas de firewall personalizadas , Symantec